Multi-factor Authentication: Why is a Separate Wearable Device Better Than Your Smartphone?

Multi-Factor Authentication (MFA) header image

В США около19% взрослого населения испытал кражу личных данных. Интернет-личность более 60 миллионов американцев была раскрыта в результате взлома клиентских баз данных их поставщиков услуг или государственных учреждений. Похожая ситуация в Европе и других странах.

Кража личных данных - не единственное преступление, которое сопровождается взломом паролей и взломом учетных записей в Интернете: мошенничество с кредитными картами, шантаж, вторжение в частную жизнь и незаконное прослушивание телефонных разговоров часто происходят во всем мире.

Многофакторная аутентификация (MFA, иногда упрощенно называемое двухфакторным или 2FA) зарекомендовал себя как эффективный инструмент для повышения безопасности онлайн-счетов. Однако включение MFA или 2FA не означает, что ваша учетная запись автоматически защищена..

Военные и элита веками использовали МИД. Например, в «Трех мушкетерах» Александра Дюма д'Артаньян получает кольцо от королевы Франции Анны в дополнение к устным инструкциям, которые ему нужно использовать для связи с герцогом Бекингемским, чтобы предупредить герцога о том, что кардинал Ришелье и миледи де Винтер замышляют убить его.

Современное использование MFA для защиты компьютерных записей и онлайн-счетов зародилось в банковском секторе, типичным примером которого является снятие наличных в банкомате, которое требуетимеябанковская карта изнание ваш ПИН-код.

Person using ATM

Человек, использующий банкомат.Изображение с сайта Pixabay

В начале 2000-х банки, интернет-магазины и сервисы представили телекоммуникационную версию 2FA на основе SMS, содержащего одноразовый пароль (OTP). Теперь это синоним самой 2FA.

Недавно мобильные приложения (например, кроссплатформенный Google Authenticator) обеспечили независимую от оператора двухфакторную аутентификацию на мобильных платформах с использованиемТОТП иHMAC программные алгоритмы.

Google Authenticator screenshot

Снимок экрана Google Authenticator на смартфоне Android. Автор изображенияAskUbuntu через StackExchange

Итак, зачем все еще возиться с аппаратными токенами аутентификации старой школы, которые требуют переноски еще одного объекта??

В этом посте мы попытаемся объяснить, почему аппаратное решение второго фактора является хорошим вариантом, и расскажем вам о функциях нашего флагманского продукта,Hideez Key, что делает аппаратную MFA эффективным и простым в использовании решением для таких случаев.

Внешнее устройство - это действительно второй фактор, фактически один из множества факторов, необходимых для того, чтобы чувствовать себя в безопасности в современном киберпространстве.e

Во времена, когда онлайн-преступники и правительства могутобходить даже двухфакторную аутентификацию, доверять второй фактор тому же устройству, которое вы хотите защитить, - не лучшее решение. Хорошо известные три столпа двухфакторной аутентификации:что ты знаешь (например, пароль или PIN-код),что у тебя есть (например, банковская карта, цифровой токен или другой физический объект) икто ты есть (т. е. биометрические данные, такие как отпечатки пальцев, радужная оболочка или глазные вены, манера набора текста на клавиатуре, характер звуковой волны вашего голоса или сердцебиения и т. д.).

Клиенты, использующие только программную двухфакторную аутентификацию, ограничиваются только тем, что им известно, т. Е. Своим постоянным паролем или кодовой фразой иодноразовый пароль (OTP) или PIN-код, который в конце концов является просто еще одним паролем. Это означает, что компьютерный профессионал или преступник, который каким-то образом получил контроль над вашим клиентским устройством или имеет возможность видеть, что находится на вашем экране (подумайте о видеонаблюдении или скрытых камерах безопасности в современных офисных зданиях), может обойти подобную программную двухфакторную аутентификацию..

Фактически, учитывая все угрозы современного мира, мы рекомендуем нашим клиентам перейти от обычного 2FA к более сложному MFA с биометрическими данными в качестве основного фактора аутентификации со всеми другими вспомогательными факторами, необходимыми только для подтверждения подлинности выданного подтверждающего сообщения. на основании биометрических данных. Здесь простота использования начинает играть ключевую роль.

При правильной настройке и использовании внешние устройства могут быть более надежными, чем OTP.

С конца 2000-х годов одноразовые пароли, доставляемые через SMS, стали очень популярным методом аутентификации в банковском деле и распространились на онлайн-сервисы, такие как электронная почта, социальные сети, облачные хранилища и т. Д. Там одноразовые пароли просты в использовании. Однако их надежность зависит от ряда факторов.

Прежде всего, заказчик должен быть уверен, что мобильная сеть, используемая для доставки одноразового пароля, достаточно защищена. Естьпублично сообщает недостатков в сетях 4G и даже 5G, в то время как 3G такжескомпрометированы еще в 2010 г..

Во-вторых, SMS OTP уязвимы для прослушивания телефонных разговоров со стороны правительства, что может стать проблемой для стран, испытывающих проблемы со свободой слова и другими основными правами человека. Каждый стандарт 3G и 4G имеет встроенные обязательные инструменты, позволяющие уполномоченным государственным правоохранительным органам получать доступ к серверам SMS в мобильных сетях, действующих в пределах юрисдикции правоохранительных органов. Более того, такие SMS-одноразовые пароли можно перехватить, пока жертва атаки пользуется роумингом в этой стране.

В отличие от операторов связи, поставщики оборудования для токенов 2FA в настоящее время не обязаны раскрывать свою технологию правительству в большинстве стран, так как это может иметь неблагоприятные последствия для банковской безопасности и самих государственных коммуникаций. Это не означает, что правительства не могут нацеливаться на аппаратную технологию 2FA, но законные средства для этого очень ограничены.

Внешние устройства 2FA на основе Bluetooth обеспечивают тот же уровень защиты, что и правильно обслуживаемый аппаратный токен USB, но при этом предлагают удобство OTP на основе SMS или мобильных приложений, таких как Google Authenticator.

Хотя аппаратные токены на основе USB для 2FA очень надежны и эффективны, при правильном использовании они требуют, чтобы клиент вставлял их в USB-слот своего устройства каждый раз, когда им нужно их использовать. Это побуждает клиента оставлять палку прямо в гнезде, что делает второй фактор, задействованный этой палкой, уязвимым для взлома..

Hideez Key сочетает в себе надежность аппаратного аутентификатора второго фактора с простотой использования протокола беспроводной связи. Конечному пользователю не нужно никуда подключать устройство, ему просто нужно держать его в кармане или на связке ключей рядом с телом.

В отличие от других устройств для разблокировки вашего компьютера с помощью Bluetooth, Hideez серьезно относится к сниффингу и MITM-атакам. Мы используем дополнительные меры безопасности помимо стандартного сопряжения Bluetooth. Эти меры безопасности улучшают начальный обмен ключами и затрудняют несанкционированное прослушивание и другие методы перехвата сигналов с нашими устройствами..

Перехват трафика Bluetooth на клиентском устройстве вредоносными программами также может быть проблемой, но мы решаем ее, добавляя дополнительные меры безопасности при обмене криптографическими ключами.

Откуда устройство знает своего владельца?

Другая критическая уязвимость любого аппаратного второго фактора такая же, как и для любого физического ключа или токена доступа, программное обеспечение предполагает, что лицо, представляющее физический токен для аутентификации, является законным владельцем. Однако что, если устройство второго фактора потеряно или украдено?n?

Если Hideez Key утерян по какой-либо причине, пользователь также может использоватьМой Hideez чтобы отключить Hideez Key от своей учетной записи, или обратитесь к системному администратору. Это предотвратит несанкционированное использование Hideez Key.

Синхронизация через Bluetooth безопаснее, чем через облако или Wi-Fi.

Знать свой пароль в нужный момент не менее важно, чем хранить его в безопасности. Различные мобильные платформы, такие как iCloud Keychain, LastPass, Dashlane, SafeInCloud и другие, предлагают внутренние и автономные менеджеры паролей с функциями синхронизации между устройствами.

Хотя все эти решения имеют отличную репутацию, все они используют Интернет для синхронизации данных между различными устройствами клиентов, а это означает, что существует потенциальная уязвимость.

В случае устройства с локальным беспроводным подключением (Bluetooth 4.2 LE в случае Hideez Key) такой уязвимости нет. Конечные пользователи могут использовать наше внешнее аппаратное хранилище паролей в качестве среды для синхронизации паролей между различными устройствами с поддержкой Bluetooth без использования подключения к Интернету, что сопряжено с соответствующими рисками. Наша команда снижает риски сниффинга и другие риски, связанные с беспроводной связью, за счет вышеупомянутых дополнительных уровней шифрования на транспортном уровне и внутри приложения.

Подведение итогов

Хотя программная MFA становится все более популярной и лучше, чем ничего, текущая среда кибербезопасности требует действительно распределенной MFA. Это могут предложить только аппаратные решения.

Тем не менее, аппаратные решения должны обеспечивать простоту использования в сочетании с надежностью, чтобы свести к минимуму риск того, что заказчик может решить выбрать простой вариант и скомпрометировать свой второй фактор, оставив USB-накопитель внутри своего USB-разъема или используя PIN-код размером 1111 футов для идентификации конечного пользователя. на устройстве второго фактора..

Устройства Bluetooth для MFA решают эту проблему, обеспечивая удобство и простоту использования, обеспечивая при этом строгие меры безопасности. Примечательно, однако, что они создают дополнительный риск перехвата сигнала специализированным радиооборудованием и не защищают от риска перехвата данных вредоносным программным обеспечением, установленным внутри сопряженного устройства, хотя такие типы атак в настоящее время гораздо менее распространены.

Решения MFA на основе Bluetooth дают клиентам дополнительное преимущество беспроводной синхронизации между различными устройствами клиента без необходимости подключения к Интернету.

При тщательной разработке и надлежащем обслуживании конечным пользователем устройство второго фактора на основе Bluetooth обеспечивает простоту использования и промышленный уровень защиты.

Выучить больше about Hideez Ключевые особенности и характеристики. Если вы хотите внедрить такое решение в своей компании или организации - см.Решение Hideez Enterprise или запланируйте бесплатную демонстрацию: